Autore: Frank, PANews

Nella foresta oscura della crittografia, gli hacker osservano i beni della catena e aspettano l'opportunità. Tra le tante vittime del phishing, alla fine la fortunata è stata la balena a cui sono stati sottratti 1.155 Bitcoin.

Questo "caso di phishing" è stato seguito da vicino dalla comunità a causa della sua enorme quantità. La storia inizia il 3 maggio, quando un utente di balena ha perso 1.155 WBTC, per un valore di circa 70 milioni di dollari, quando è stato vittima di phishing da un hacker con lo stesso indirizzo. . Successivamente l’hacker ha convertito tutti i WBTC in 22.955 ETH e li ha trasferiti su decine di conti. Il 4 maggio la vittima ha iniziato a gridare all'hacker tramite messaggi on-chain, chiedendo all'altra parte di trattenere il 10% e restituire il restante 90%. Inoltre, anche gli indirizzi ETH dei due sono diventati uno spazio di comunicazione centralizzato e molti indirizzi hanno partecipato alla ricerca delle monete. Fino al 9 maggio l'hacker rispondeva alla vittima, chiedendogli di lasciare un messaggio telegram e dicendo che avrebbe preso l'iniziativa di contattarlo.

Il 9 maggio, l'hacker ha iniziato a restituire ETH alla vittima, restituendo infine tutti gli ETH. L'hacker lo ha fatto sotto pressione o per coscienza? PANews ha ricavato alcune informazioni sui motivi in ​​base allo scambio di informazioni sulla catena.

I cacciatori di taglie scoraggiano gli hacker

Dal 4 maggio la vittima ha gridato più volte all'hacker Oltre a dire che avrebbe potuto dare il 10% alla controparte, ha anche affermato di non aver pubblicato nulla su Twitter e ha avvisato l'hacker: lo sappiamo tutti. 7 milioni ti renderanno sicuramente la vita migliore, ma 70 milioni non ti faranno dormire bene.

Sfortunatamente, dopo aver chiamato più volte, l'hacker non ha ricevuto risposta. Sembra che manchino prove conclusive nelle mani della vittima per confermare la vera identità dell'hacker, incluso il fatto che la rete di intelligence sulle minacce di SlowMist ha localizzato solo una stazione base mobile a Hong Kong e non include la possibilità di VPN. Pertanto, anche gli hacker sono in uno stato di fiducia.

Fino al 7 maggio, un indirizzo 0x882c927f0743c8aBC093F7088901457A4b520000 inviava un messaggio alla vittima dicendo: "Ciao, sono uno dei programmatori di ChangeNow. Ho accesso al database ChangeNow. L'hacker ha utilizzato questa piattaforma molte volte. Posso divulgare tutti i suoi dati , ma chiedo una ricompensa di $ 100.000 in cambio di dati come l'indirizzo IP e l'indirizzo dell'exchange dove sono stati inviati i fondi, posso solo fornire queste informazioni, il resto spetta alla polizia contattare l'exchange e raccogliere i suoi dati personali, ad esempio con l'indirizzo KYC pertinente e la posizione, inviare conferma se si desidera portare avanti il ​​caso."

Sebbene la vittima non abbia mai risposto alla richiesta di taglia proveniente da questo indirizzo, subito dopo questo messaggio l'hacker ha improvvisamente trasferito 51 ETH alla vittima, con la richiesta di aggiungere l'account TG della vittima.

PANews ha scoperto attraverso l'analisi on-chain che più account associati dell'hacker hanno interagito con l'exchange ChangeNow. Anche i fondi presenti nell'indirizzo del cacciatore di taglie che ha chiamato sono stati ritirati da ChangeNow. Forse è stata proprio questa informazione a colpire il punto debole dell'hacker e a spingerlo a diffidare di questo informatore sconosciuto.

ChangeNow è uno scambio molto apprezzato dagli hacker. In generale, viene utilizzato come strumento di mixaggio di valute grazie al suo anonimato e all'esenzione KYC. Secondo PANews, se l’hacker ha mai utilizzato la funzione di cambio valuta fiat sulla piattaforma, è effettivamente necessario il KYC.

Tuttavia, a giudicare dalle informazioni sulla catena del cacciatore di taglie e dalle informazioni lasciate, non è possibile confermare che l'identità dell'altra parte sia un membro dello staff di ChangeNow. Alla fine, a giudicare dalle informazioni presenti sulla catena, sembra che il cacciatore di taglie non abbia ancora ricevuto la taglia di 100.000 dollari che sperava.

La vera vittima potrebbe essere una grande scimmia annoiata

Il 5 maggio PAULY, la persona che ha rivelato l'identità del fondatore di PEPE e del fondatore di Pond Coin, ha finto di essere vittima della perdita di token su Twitter, forse per guadagnare popolarità attraverso questo incidente. Tuttavia, l'analisi di PANews ha rilevato che PAULY non è stata la vittima di questo incidente.

Secondo le informazioni TG lasciate dalla vittima sulla catena, questa era collegata all'utente @BuiDuPh su Twitter. L'utente viene presentato come un ingegnere informatico vietnamita. Dopo l’incidente, ha inoltrato più volte i resoconti dei media sull’incidente. PANews ha provato a contattare l'utente ma non ha ricevuto risposta. Entro il 12 maggio l'utente si è disconnesso dal proprio account Twitter e ha cancellato tutti i contenuti correlati. Tuttavia, osservando i precedenti aggiornamenti Twitter dell'utente, possiamo vedere che l'utente ha inoltrato solo alcuni contenuti rilevanti dopo l'incidente e ha mantenuto un gran numero di visualizzazioni e interazioni con altri contenuti ogni giorno. Non sembrava una persona che ha perso $ 70 milioni. L'utente potrebbe anche semplicemente aiutare i possessori di token ad affrontare l'incidente.

PANews ha scoperto, in base al monitoraggio delle informazioni sulla catena, che il vero proprietario del token smarrito è probabilmente l'utente @nobody_vault è un noto giocatore NFT e una volta era il maggiore detentore di Boring Ape NFT. Al momento, detiene ancora 49 NFT Boring Ape e ha precedentemente investito in un progetto di gioco a catena Undeads. Secondo le informazioni sulla catena, l'indirizzo della moneta smarrita ha un gran numero di transazioni con l'indirizzo di nessuno_vault.

Gli hacker non si sono ancora fermati

Dalle informazioni sulla catena risulta che recentemente l'hacker ha effettuato circa 25.000 piccole transazioni di phishing attraverso i due indirizzi 0x8C642c4bB50bCafa0c867e1a8dd7C89203699a52 e 0xDCddc9287e59B5DF08d17148a078bD181313EAcC. Finora sembra che l'hacker non abbia alcuna intenzione di fermarsi. Anche dopo aver restituito 1155WBTC alla vittima, l'hacker continua a utilizzare questo metodo per pescare. Oltre a questo phishing, secondo l'analisi di SlowMist, l'hacker ha recentemente guadagnato più di 1,27 milioni di dollari attraverso questo metodo.

Anche un altro utente 0x09564aC9288eD66bD32E793E76ce4336C1a9eD00 ha lasciato un messaggio sulla catena indicando che l'hacker aveva phishing più di 20 indirizzi attraverso questo metodo.

Ma rispetto alla vittima che ha perso 1.155 WBTC, gli altri utenti non sembrano essere così fortunati. A causa dell’importo ridotto, queste piccole vittime di phishing non attirano l’attenzione del pubblico. L'hacker sembrava inoltre essere esente da ogni responsabilità legale dopo aver restituito i fondi. Non solo continuano a farla franca, ma continuano a tornare alle loro vecchie abitudini.

Per gli utenti ordinari, questo incidente ricorda inoltre a tutti di confermare attentamente il proprio indirizzo prima di trasferire denaro.